[作者] dsj [头衔]
论坛坛主 [经验]
220862 [等级]
大主帅 [发帖]
15642 [回帖]
1366 [登陆]
7956
[发表时间]
2003/5/10 22:29:39 [楼主]
|
|
标题:
上网操作1000问
|
黑客及防范 “他旁若无人地站在白宫走廊的一角,目光深邃。一台笔记本电脑与他寸步不离,他不时在键盘上敲下某些神秘的指令......”,当有“世界头号电脑黑客”之称的天才黑客凯文.米特尼克(Kevin.Mitnik)被克林顿总统邀请到白宫共商网络安全大计时,美国的一本著名周刊对这位有着传奇色彩的黑客进行了以上的描述。 2000年8月21日上午10时,国内企业海信集团宣布,悬赏50万,以集团下属公司——北京海信数码科技股份公司研制的8341防火墙向全球黑客挑战。但就在8月24日,海信公司网站主页被化名为“黑妹”的黑客黑掉。并且在其主页发表了一封致该公司副总裁的公开信。信中称,该公司这种行为“无非为了炒作。”并声称海信公司公布的是一个根本PING不通的IP地址,是对黑客极大侮辱。在最后以威胁性言语表示:“我现在勒令你:立即停止叫板,否则贵网站一年四季休得安宁!” …… 持续不断的有关事件的新闻,使得黑客这一特殊群体再一次引起了世人的关注。 黑客的定义及其危害 什么是黑客? 答:谈到网络安全问题,就没法不谈黑客(Hacker)。翻开1998年日本出版的《新黑客字典》,可以看到上面对黑客的定义是:“喜欢探索软件程序奥秘、并从中增长其个人才干的人。我可不是啊如果做朋友的可以共同讨论啊我的Q929230还是说正题吧他们不像绝大多数电脑使用者,只规规矩矩地了解别人指定了解的范围狭小的部分知识。” “黑客”大都是程序员,他们对于操作系统和编程语言有着深刻的认识,乐于探索操作系统的奥秘且善于通过探索了解系统中的漏洞及其原因所在,他们恪守这样一条准则:“Never damage any system”(永不破坏任何系统)。他们近乎疯狂地钻研更深入的电脑系统知识并乐于与他人共享成果,他们一度是电脑发展史上的英雄,为推动计算机的发展起了重要的作用。那时候,从事黑客活动,就意味着对计算机的潜力进行智力上最大程度的发掘。国际上的著名黑客均强烈支持信息共享论,认为信息、技术和知识都应当被所有人共享,而不能为少数人所垄断。大多数黑客中都具有反社会或反传统的色彩,同时,另外一个特征是十分重视团队的合作精神。 显然,“黑客”一词原来并没有丝毫的贬义成分。直到后来,少数怀着不良的企图,利用非法手段获得的系统访问权去闯入远程机器系统、破坏重要数据,或为了自己的私利而制造麻烦的具有恶意行为特征的人(他们其实是“Crack”)慢慢玷污了“黑客”的名声,“黑客”才逐渐演变成入侵者、破坏者的代名词。 “他们瞄准一台计算机,对它进行控制,然后毁坏它。”——这是1995年美国拍摄第一部有关黑客的电影《战争游戏》中,对“黑客”概念的描述。 虽然现在对黑客的准确定义仍有不同的意见,但是,从信息安全这个角度来说,“黑客”的普遍含意是特指对电脑系统的非法侵入者。多数黑客都痴迷电脑,认为自己在计算机方面的天赋过人,只要自己愿意,就可毫无顾忌地非法闯入某些敏感的信息禁区或者重要网站,以窃取重要的信息资源、篡改网址信息或者删除该网址的全部内容等恶作剧行为作为一种智力的挑战而自我陶醉。 目前黑客已成为一个特殊的社会群体,在欧美等国有不少完全合法的黑客组织,黑客们经常召开黑客技术交流会,97年11月,在纽约就召开了世界黑客大会,与会者达四五千人之众。另一方面,黑客组织在因特网上利用自己的网站上介绍黑客攻击手段、免费提供各种黑客工具软件、出版网上黑客杂志。这使得普通人也很容易下载并学会使用一些简单的黑客手段或工具对网络进行某种程度的攻击,进一步恶化了网络安全环境。 黑客可以分为哪几种类型? 答:黑客通常可以分为以下几种类型: 1.好奇型 他们没有反社会色彩,只是在追求技术上的精进, 只在好奇心驱使下进行一些并无恶意的攻击,以不正当侵入为手段找出网络漏洞,他们在发现了某些内部网络漏洞后,会主动向网络管理员指出或者干脆帮助修补网络错误以防止损失扩大。他们能使更多的网络趋于完善和安全。 2.恶作剧型 闯入他人网站,以篡改、更换网站信息或者删除该网站的全部内容,并在被攻击的网站上公布自己的绰号,以便在技术上寻求刺激,炫耀自己的网络攻击能力。 3.隐密型 喜欢先通过种种手段把自己深深地隐藏起来,然后再以匿名身份从暗处实施主动网络攻击;有时干脆冒充网络合法用户,通过正常渠道侵入网络后再进行攻击。此类黑客大都技术高超、行踪无定,攻击性比较强。 4.定时炸弹型 极具破坏性的一种类型。为了达到个人目的,通过在网络上设置陷阱或事先在生产或网络维护软件内置入逻辑炸弹或后门程序,在特定的时间或特定条件下,根据需要干扰网络正常运行或致使生产线或者网络完全陷入瘫痪状态。 5. 重磅炸弹型 这种黑客凭借高超的黑客技术,利用高技术手段干扰竞争对手的正常商业行为。或者非法闯入军事情报机关的内部网络,干扰军事指挥系统的正常工作,窃取、调阅和篡改有关军事资料,使高度敏感信息泄密,意图制造军事混乱或政治动荡。 黑客有什么样的危害? 答:黑客对于窥视别人在网络上的秘密有着特别的兴趣,如政府和军队的机密、企业的商业秘密及个人隐私等均在他们的双目注视之下。他们的所作所为常常让人们为之瞠目: 1990年4月—1991年5月间,几名荷兰黑客自由进出美国国防部的34个站点如入无人之境,调出了所有包含“武器”、“导弹”等关键词的信息。严重的是,而美国国防部当时竟一无所知。 在1991年的海湾战争中,美国首次将信息战用于实战,但黑客很快就攻击了美国军方的网络系统。同时。黑客们将窃取到的部分美军机密文件提供给了伊拉克。 1996年9月18日,美国中央情报局的网页被一名黑客破坏,“中央情报局”被篡改成“中央愚蠢局” …… 据《今日美国报》报道,黑客每年给全球电脑网络带来的损失估计高达上百亿美元。 为了打击黑客的犯罪活动,美国政府计划成立一个由联邦调查局、中央情报局、司法局和商务部联合组成的特别小组,来保护美国的重要电脑系统不受恐怖分子的攻击。五角大楼筹划组建一个国家安全情报交流小组,以防止发生“电子珍珠港事件”。 二、黑客常用的攻击手段 在高速运行的Internet上,除了机器设备、通讯线路等硬件设施本身的可靠性问题之外,可以说每时每刻都受到潜在人为攻击的威胁,而这种攻击一旦成功,小则文件受损、商业机密泄漏,大至威胁国家安全。以下就是黑客通常都采用几种攻击手段:后门、炸弹攻击、拒绝服务攻击等。 什么是后门程序? 答:当一个训练有素的程序员设计一个功能较复杂的软件时,都习惯于先将整个软件分割为若干模块,然后再对各模块单独设计、调试,而后门则是一个模块的秘密入口。在程序开发期间,后门的存在是为了便于测试、更改和增强模块的功能。当然,程序员一般不会把后门记入软件的说明文档,因此用户通常无法了解后门的存在。 按照正常操作程序,在软件交付用户之前,程序员应该去掉软件模块中的后门,但是,由于程序员的疏忽,或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问,方便测试或维护已完成的程序等种种原因,实际上并未去掉。 这样,后门就可能被程序的作者所秘密使用,也可能被少数别有用心的人用穷举搜索法发现利用。想想看,如果黑客发现了你的服务器正运行着有后门的软件,结果将会怎样?! 炸弹攻击的原理是什么? 答:炸弹攻击的基本原理是利用特殊工具软件,在短时间内向目标机集中发送大量超出系统接收范围的信息或者垃圾信息,目的在于使对方目标机出现超负荷、网络堵塞等状况,从而造成目标的系统崩溃及拒绝服务。常见的炸弹攻击有邮件炸弹、逻辑炸弹、聊天室炸弹、特洛伊木马、网络监听等。 什么是邮件炸弹? 答:邮件炸弹攻击是各种炸弹攻击中最常见的攻击手段。现在网上的邮件炸弹程序很多,虽然它们的安全性不尽相同,但基本上都能保证攻击者的不被发现。任何一个刚上网的新手利用现成邮件炸弹工具程序,要实现这种攻击都是易如反掌的。 邮件炸弹造成的危害原理是这样的:由于接收邮件信息需要系统来处理,而且邮件的保存也需要一定的空间。所以,因邮件炸弹而导致的巨量邮件会大大加剧网络连接负担、消耗大量的存储空间,甚至溢出文件系统,这将会给Unix、Windows等许多操作系统形成威胁,除了操作系统有崩溃的危险之外,由于大量垃圾邮件集中涌来,将会占用大量的处理器时间与带宽,造成正常用户的访问速度急剧下降。而对于个人的免费邮箱来说,由于其邮箱容量是有限制的,邮件容量一旦超过限定容量(即邮箱被“撑爆”),系统就会拒绝服务。 有矛就会有盾,针对邮件炸弹的泛滥,一些对抗邮件炸弹的“砍信”软件开始应运而生(比如E-mail Chomper等),这些“砍信”软件可以帮助你快速删除炸弹邮件。而各免费邮箱提供商也通过使用邮件过滤器等措施加强了这方面的防护。如果被攻击者能够及时发现遭受攻击的话,完全可以使用系统提供的邮件过滤器系统来拒绝接收此类邮件,但是,目前对于解决邮件炸弹的困扰还没有万全之策,应以预防为主。 什么是逻辑炸弹? 答:逻辑炸弹是指对计算机程序进行修改,使之在某种特定条件下触发,按某种特殊的方式运行。在不具备触发条件的情况下,逻辑炸弹深藏不露,系统运行情况良好,用户也感觉不到异常之处。但是,触发条件一旦被满足,逻辑炸弹就会“爆炸”。虽然它不能炸毁你的机器,但是可以严重破坏你的计算机里存储的重要数据,导致凝聚了你心血的研究、设计成果毁于一旦,或者自动生产线的瘫痪等严重后果。 什么是聊天室炸弹? 答:在聊天室里也相对容易受到炸弹攻击,不过还好,并不是所有的聊天室都支持炸弹,一般的聊天室炸弹有两种,一种是使用JavaScript编就的,只有在支持JavaScript的聊天室才可以使用它;另外一种炸弹是基于IP原理的,使用时需要知道对方的IP地址或者主机支持扩展邮件的标准。如果主机是Unix的,且支持扩展邮件标准,那么可以使用flash之类的软件去袭击他们,如果知道对方的IP地址,事情就更简单了,使对方的系统过载的软件简直不胜枚举。此外,还有浏览器炸弹和留言本炸弹等。当触发浏览器炸弹的时候,系统会打开无数的窗口,直到耗尽计算机的资源导致死机为止(也称“窗口炸弹”)。 什么是拒绝服务攻击? 答:拒绝服务攻击,也叫分布式D.O.S攻击(Distributed Denial Of Service)。拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统,带宽资源,致使网络服务瘫痪的一种攻击手段。它的攻击原理是这样的:攻击者首先通过比较常规的黑客手段侵入并控制某个网站之后,在该网站的服务器上安装并启动一个可由攻击者发出的特殊指令来进行控制的进程。当攻击者把攻击对象的IP地址作为指令下达给这些进程的时候,这些进程就开始对目标主机发起攻击。这种方式集中了成百上千台服务器的带宽能力,对某个特定目标实施攻击,所以威力惊人,在这种悬殊的带宽对比下,被攻击目标的剩余带宽会迅速耗尽,从而导致服务器的瘫痪。当黑客于1999年8月17 日 攻击美国明尼苏达大学的时候就采用了一个典型的拒绝服务攻击工具Trin00,攻击包从被Trin00控制的至少227个主机源源不断地送到明尼苏达大学的服务器,造成其网络严重瘫痪达48小时。在一定时间内,彻底使被攻击的网络丧失正常服务功能,这种攻击手法为 DDoS,即分布式拒绝服务攻击 拒绝服务攻击工具Trin00有何特点? 答: Trin00是一个基于UDP flood的比较成熟攻击软件,运行环境为Unix或NT。 它通过向被攻击目标主机的随机端口发送超出其处理能力的UDP包, 致使被攻击主机的带宽被大量消耗,直至不能提供正常服务甚至崩溃。 Trin00由以下三个模块组成:客户端(如Telnet之类的连接软件)、攻击控制进程(MASTER)、攻击守护进程(NS) 。其中,攻击守护进程NS是具体实施攻击的程序,它一般和攻击控制进程(MASTER)所在主机分离。 黑客先通过主机系统漏洞将大量NS植入有漏洞主机里。当NS运行时,会首先向攻击控制进程(MASTER)所在主机的31335端口发送内容为HELLO的UDP包,随后,攻击守护进程即对端口27444处于检测状态,等待MASTER攻击指令的到来。 MASTER在正确输入默认密码后开始启动,它一方面侦听端口31335,等待攻击守护进程的HELLO包,另一方面侦听端口27665,等待客户端对其的连接。当客户端连接成功并发出指令时, MASTER所在主机将向攻击守护进程ns所在主机的27444端口传递指令。 当客户端完成了与MASTER所在主机的27665端口的连接后,即开始进入预备攻击控制状态。 你以为自己的密码很安全吗? 答:只要我们需要上网冲浪,那么就少不了一系列的密码:拨号上网需要密码,收取电子邮件需要密码,进入免费电子信箱要密码、进入网络社区也要密码,使用ICQ、OICQ还是离不开密码......众所周知,在Win9X下,我们的用户密码通常被保存为*.pwl文件。而*.pwl文件就安全了吗?不!在网上就可以找到不少可以直接读取*.pwl文件的小工具。另外,拿用于拨号上网的应用软件来说,我们输入的密码虽然显示为“*”号,但也同样有许多工具(比如PwdView)可以看到用“*”号后面隐藏的秘密。再比如说,当黑客通过某种手段知道了你上传网页的FTP密码以后,就可以很轻易地黑掉你的主页。所以说,通常我们密码的安全性并没有我们想象的那么高。 哪几类密码最危险? 答:通常不很安全的密码主要有以下几种: 第一类:使用用户名/帐号作为密码。虽然这种密码很方便记忆,可是其安全几乎为0。因为几乎所有以破解密码为手段的黑客软件,都首先会将用户名作为破解密码的突破口,而破解这种密码的速度极快,这就等于为黑客的入侵提供了敞开着的大门。 第二类:使用用户名/帐号的变换形式作为密码。 将用户名颠倒或者加前后缀作为密码,虽然容易记忆又可以使一部分初级黑客软件一筹莫展。但是,现在已经有专门对付这类密码的黑客软件了。 第三类:使用纪念日作为密码。这种纯数字的密码破解起来几乎没有什么难度可言。 第四类:使用常用的英文单词作为密码。尤其是如果选用的单词是十分偏僻的,那么这种方法远比前几种方法都要安全。但是,对于有较大的字典库的黑客来说,破解它也并不那么太困难。 第五类:使用5位或5位以下的字符作为密码。5位的密码是很不可靠的,而6位密码也不过将破解的时间延长到一周左右。 比较安全的密码首先必须是8位长度,其次必须包括大小写、数字字母,如果有特殊控制符最好,最后就是不要太常见。比如说:d9C&v6Q0这样的密码就是相对比较安全的,如果再坚持每隔几个月更换一次密码,那就更安全了。另外,还要注意最好及时清空自己的临时文件,上网拨号的时候不选择“保存密码”,在浏览网页输入密码的时候不让浏览器记住自己的密码等。 黑客破解密码的穷举法是怎么回事? 答:穷举法对于纯数字密码(比如以出生日期或者电话号码作为密码)有很好的破解效果,但是包含字母的密码不适合这种方式。。穷举法的原理逐一尝试数字密码的所有排列组合,虽然效率最低,但很可靠,所以又有暴力法破解之称。纯数字密码是很不可靠的,为什么呢? 因为即使是完全穷举,6位数字密码的极限也只有100万种, 如果使用密码破解工具NoPassword,在网络畅通的情况下不出一天即可穷举完毕。而即使是使用8位纯数字密码,只要破解时间稍长,也难保安全。 黑客破解密码的字典法是怎么回事? 答:字典法的工作原理是这样的:由于网络用户通常采用某些英文单词或者自己姓名的缩写作为密码,所以就先建立一个包含巨量英语词汇和短语、短句的可能的密码词汇字典(也称“字典档”),然后使用破解软件去一一尝试,如此循环往复,直到找出正确的密码,或者将密码词汇字典里的所有单词试完一遍为止。这种破解密码方法的效率远高于穷举法,因此大多数密码破解软件都支持这种破解方法。 黑客破解密码的猜测法是怎么回事? 答:猜测法依靠的是经验和对目标用户的熟悉程度。现实生活中,很多人的密码就是姓名汉语拼音的缩写和生日的简单组合。甚至还有人用最危险的密码——与用户名相同的密码!这时候,猜测法拥有最高的效率。 什么是特洛伊木马? 答:特洛伊木马是指一个程序表面上在执行一个任务,实际上却在执行另一个任务。黑客的特洛伊木马程序事先已经以某种方式潜入你的机器,并在适当的时候激活,潜伏在后台监视系统的运行,它同一般程序一样,能实现任何软件的任何功能。例如,拷贝、删除文件、格式化硬盘、甚至发电子邮件。典型的特洛伊木马是窃取别人在网络上的帐号和口令,它有时在用户合法的登录前伪造一登录现场,提示用户输入帐号和口令,然后将帐号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。用户还以为自己输错了,再试一次时,已经是正常的登录了,用户也就不会有怀疑。其实,特洛伊木马已完成了任务,躲到一边去了。更为恶性的特洛伊木马则会对系统进行全面破坏。 特洛伊木马法最大的缺陷在于,必须先想方设法将木马程序植入到用户的机器中去。这也是为什么建议普通用户不要轻易地执行电子邮件中附带的程序的原因之一,因为特洛伊木马可能就在你的鼠标点击之间悄然潜入到了你的系统之中。 网络监听是怎么回事? 答:网络监听工具本来是提供给管理员的一种监视网络的状态、数据流动情况以及网络上传输的信息的管理工具。当信息以明文的形式在网络上传输时,将网络接口设置在监听模式,便可以源源不断地截获网上传输的信息。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。当黑客成功登录一台网络上的主机并取得这台主机的超级用户权之后,若想尝试登录其它主机,那么使用网络监听将是最快捷有效的方法,它常常能轻易获得用其它方法很难获得的信息。由于它能有效地截获网上的数据,因此也成了网上黑客使用得最多的方法。网络监听有一个前提条件,那就是监听只能物理上的连接属于同一网段的主机。因为不是同一网段的数据包,在网关就被滤掉,无法传入该网段。 总之,网络监听常常被用来获取用户的口令。因为当前网上的数据绝大多数是以明文的形式传输,而且口令通常都很短且容易辨认。当口令被截获,则可以非常容易地登上另一台主机。 三、神秘的黑客工具 Internet上为数不少的黑客网站大都提供各种各样的黑客软件,下面就来了解其中的一些“典型”,并了解应对措施。 必须说明,安全防范与攻击破解是相互依存的,我们初步了解黑客软件的攻击原理和手段,是为了更好地进行黑客防范,其中涉及的黑客手段切勿轻易尝试,否则必将受到国家有关的网络安全法规的惩处,一切后果由使用者自负。 什么是WinNuke,如何清除? 答:WinNuke的工作原理是利用Windows 95的系统漏洞,通过TCP/IP协议向远程机器发送一段可导致OOB错误的信息,使电脑屏幕上出现一个蓝屏及提示:“系统出现异常错误”,按ESC键后又回到原来的状态,或者死机。对策是用写字板或其它的编辑软件建立一个文件名为OOBFIX.REG的文本文件,内容如下: REGEDIT4 [HKEY_LOCAL_MACHINE\System\ CurrentControlSet \ Services\VxD\MSTCP] “BSDUrgent”=“0” 启动资源管理器,双击该文件即可。 什么是BO2K? 答:BO2K是黑客组织“死牛崇拜”(Cult Dead Cow)所开发的曾经令人闻之色变的黑客程序BO1.2版的最新升级版本。 虽然BO2K可以当作一个简单的监视工具,但它主要的目的还是控制远程机器和搜集资料。BO2K的匿名登陆和可恶意控制远程机器的特点,使得它在网络环境里成为一个极其危险的工具。 BO2K既可以通过Email发送,也可以手工安装,安装包括两个部分:客户端和服务器端。 利用客户端程序,能够很轻松地对被控制的电脑进行众多的操作:比如重新启动计算机、锁死系统、获取系统口令,搜索、下载和编辑所有软件和文档,运行任何应用程序、记录键盘输入情况(也就是说可以易如反掌地窃取你的网络登录密码)等等。而且,BO2K不仅可以在Windows NT上顺畅运行,就连刚问世的Windows 2000也不能幸免。 另外,Cult Dead Cow还在其专为BO2K而设的网站上还提供了一些用于增强BO2K程序功能的插件(Plug-In),其中有一个名为SilkRope2K的插件(158KB),通过它可以非常容易地把BO2K的服务器程序捆绑到任何一个可执行文件上,而这个已经暗藏玄机的可执行文件,除了文件长度变大了130KB左右之外,并无其它任何异样,而这个可执行程序一旦被运行,BO2K服务器程序就会悄然无声地自动安装在对方的电脑之中。就样一来,只要被控制的电脑连上了Internet,哪怕远隔千山万水,黑客都可以像操作自己的电脑一样方便地对对方电脑进行随心所欲的控制。 BO2K的组成与工作原理是怎样的? 答:虽然BO2K可以当作一个简单的监视工具,但它主要的目的还是控制远程机器和搜集资料。BO2K的匿名登陆和可恶意控制远程机器的特点,使得它在网络环境里成为一个极其危险的工具。 BO2K包括服务器端的BO2K.exe、BO2Kcfg.exe和用户端的 BO2Kgui.exe、BO3des.dll、BO_peep.dll。其中,两个服务器端的文件一般是通过Email的方式进行传送,BO2K服务器端的程序大小仅为112KB,非常便于在网络上传输;客户端程序解压后的大小约2.07MB左右,功能非常强悍,由于采用了很简明的图形化界面,略通电脑的人都可以很容易地掌握其使用方法。BO2K既可以通过Email发送,也可以手工安装,安装包括两个部分:客户端和服务器端。在服务器端安装BO2K非常简单。只要执行BO2K的服务器端程序,就完成了安装。这个可执行文件名字最初叫做bo2k.exe ,但可能会被改名(比如更容易迷惑人的Readme.exe)。这个可执行文件的名字是在BO2K客户端安装时,或在BO2K设置向导里指定的。 BO2K的设置向导会指导用户进行以下几方面的设置:包括服务端文件名(可执行文件)、网络协议(TCP或UDP)、端口、加密和密码。这个过程完成后,运行bo2kgui.exe(BO2K图形用户界面), 就可以看见工作区, 工作区包括了服务器的列表(如果你保存了上次的结果)。指定要连接的服务器,开始使用BO。给这个服务器起个名字,输入IP地址和连接的一些信息。指定了服务器后,服务器命令的客户端就出现了。这个窗口里可以使用BO的功能....点个命令,功能就列给你看了,有的命令如文件名和端口还需要设置参数。设置向导允许服务端执行快速安装,使用默认设置,以便立即使用BO2K控制远程机器。通过设置工具手动进行设置,可以管理很多选项,其中很多选项主要是用于防止BO被发现的伪装工作。 设置向导的过程分为以下几个步骤: 1.服务端文件名 、2.网络协议(TCP或UDP) 、3.端口 、4.加密方法(XOR或3DES) 、5.密码/加密钥匙。设置向导执行完后,会列出服务器的设置工具,有BO2K的运行状况,控制BO2K,客户端/服务器的通讯协议和程序的隐藏。 BO2K怎样进行自我保护? 答:BO2K提供一个图形化的文件浏览方式,可以方便地修改注册表,所有危险之举已经简化到只需鼠标轻轻一点。对于Windows NT而言,BO2K的危害性就更为巨大:为进行自我保护,BO2K不仅会自动改变自己的进程名称,而且还能自动建立一个自身进程的副本,以备BO2K被删除后还能够“在烈火中永生”。它自己的文件名后面加上一些随机的空格及字母,所以在Windows下无法删除该文件,只能在纯DOS下删掉。也就是说,一旦服务器感染BO2K就必须停机,才能删除。众所周知,重要的服务器停机会造成多大的损失......BO2k还支持多种网络协议。它可以利用TCP或UDP来传送,还可以用XOR加密算法或更高级的3DES加密算法加密。虽然用3DES算法加密的BO2K也有可能被发现,但现在还没有方法来判断其执行的命令。更为令人担心的是,BO2K可以自由地增加或者去掉网络目录的共享属性,也就是说,一旦BO2K进入公司内部网络服务器,那么整个公司网络上的所有文件就都随时有可能被居心叵测的人所“共享”. BO2K具体可以对电脑进行哪些远程控制? 答:O2K的服务器端程序一旦被激活,你就成为了BO2K的服务器,从此处于黑客的完全控制之下, BO2K里共有70多条命令,这些命令用来在服务器上搜集数据和控制服务器,包括在BO2K服务器的电脑上增加目录、删除文件、查看系统中各种可能存在的口令、修改注册表,遥控BO2K服务器的多媒体播放、捕捉等功能。两台计算机建立连接后,选个命令,加上参数(如果需要的话),按 “Send Command”(发送命令),就在选择的服务器上执行该命令,服务器的回应也会在回应窗口中显示出来。 黑客可随时启动和锁死系统、猎取密码、获得系统信息;可在你的计算机上出现系统信息框提示,改变HTTP文件服务器访问;可查看、删除、创建网络共享驱动盘和程序;修改注册表;通过远程来拷贝、删除、改变文件名;解压文件; 可使用DNS服务改变主机名和IP地址;可启动和停止BO2K服务系统;加载和卸装有关插件。下面就是BO2K的一些主要的远程控制手段: 1.搜索动态IP地址 从BO2K客户机向特定的IP地址发送命令即可对BO2K服务器操作。如果BO2K服务器无静态IP地址,BO2K客户机提供命令:在BO2K客户机的图形界面中使用“Ping...”命令,给对方电脑发个数据包看它能否被访问,看其是否已经“中招”;另外还可以设定目标IP如“202.102.87.*”,通过扫描子网列表来查找和监控那些电脑被安装了BO2K服务器、而IP地址又是动态分配的用户的电脑。 2.系统控制和文件管理 通过相应的命令,BO2K可以轻松获取和显示包括当前用户、CPU、内存、Window版 本、驱动器(硬盘)容量及未使用空间等内容BO2K服务器上的相关系统信息。另外可以将BO2K服务器上的击键情况和执行输入的窗口名记录下来。 甚至还可以在BO服务器上开一个对话框来与对方进行对话。BO2K还提供诸如对文件进行查找、拷贝、删除等操作的一系列命令,可在BO2K服务器的硬盘目录中查找目标文件,并能任意增加目录和删除文件、查看和拷贝文件、更改目录名、删除目录等。BO2K还可以任意修改BO2K服务器的注册表,锁住BO2K服务器的电脑,甚至可以控制BO2K服务器的系统重启动。 3.音频及视频控制 通过BO2K客户端可以列出BO2K服务器的视频输入设备。如果存在视频输入设备,既可以将视频和音频信号捕捉成为avi文件,也可以将BO2K服务器屏幕影像捕捉成为位图文件。只要愿意,甚至还可以遥控BO2K服务器的多媒体播放,比如在BO2K服务器上播放一个avi文件等等。 4.网络控制 BO2K提供了网络连接、出口地址、TCP 文件接收、网络使用等命令,可以查看BO2K服务器上所有的域名、网络接口、服务器等内容,并可列出当前共享名、共享驱动器以及共享目录、权限和密码。通过TCP文件传输,还能将BO2K服务器主机连接到一个特定的IP地址和端口并发送特定文件中的内容,或将所接收到的数据保存到特定文件中。 5.进程控制 BO2K可以通过Telnet对话来控制基于文本或DOS的应用程序。可以在BO2K服务器列出当前激活的插件和已存在的插件并加以运行。另外还能在BO2K服务器上运行一个程序。也可以查看当前运行的所有程序并发送命令关闭其中的某个程序。 作为一个功能强悍的黑客程序,BO2K的这些功能颇有些令人不寒而栗:因为如果我们的电脑不慎被BO2K侵入,当我们上网的时候自己的电脑就已经毫无秘密可言了,别说拨号上网的口令和系统加密口令了,就连你的屏幕保护口令黑客也知道的一清二楚。 如何清除BO2K? 答:BO2K的功能虽然十分强悍,但它的工作原理却很简单。我们知道它发生作用的前提是每次在Windows启动时,同时悄悄地在我们的电脑上启动一个服务器程序,黑客通过我们登录因特网时的IP地址,用配套的客户端程序登录到我们的电脑,从而实现远程控制我们电脑的目的。从原理上讲,BO2K和著名的PC Anywhere一样,是一套简单的远程登录及控制软件工具。既然我们知道了BO2K进行工作的关键在于隐藏了一个会在Windows启动时悄悄执行的服务端程序,那么对付它的最直接有效的方法,就是从我们Windows的启动配置中将自动执行的黑客服务器程序删除掉。 对付BO2K的方法如下:首先检查Windows\system下有没有一个名叫UMGR32~1.EXE的文件;如果是NT系统,则在Winnt\system32目录下检查它是否存在,这个文件的存在往往意味着系统已经被BO2K入侵。但这种方法并不是绝对保险,因为BO2K允许入侵者自行改变这个文件名,较可靠的办法还是检查可疑文件的长度,BO2K服务端的文件大小是114688字节, 如果发现某个文件刚好符合这个长度,可使用EDIT打开它,如果发现“Back Orifice”字串,那么该系统已经确实无疑地感染了BO2K。 BO2K运行时必须修改注册表,因此我们可根据下面的线索通过注册表编辑器使用“查找”检查自己的系统是否被BO2K入侵。被BO2K修改过的注册表应该包含下列特征: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices] “UMGR32.EXE”=“C:\\WINDOWS\\ SYSTEM\\UMGR32.EXE” 发现了BO2K的蛛丝马迹后,Windows9x用户可以在纯DOS(而不是DOS窗口)下删除文件名以UMGR32打头的文件(del umgr*.*),再把它增加的注册表项删掉即可。对于WindowsNT,因为不能进入纯DOS状态,可以先删除它的相关注册表项,然后重启机器再看能否删掉以UMGR32打头的文件。如果这样不行的话,只好用系统软盘引导别的操作系统再做修改了。 另外,如果你已经在使用Windows 98 Second Edition版(即98第2版), BO2K 1.0会因为在隐身时的一个小缺陷,它会导致每次开机时都出现“非法操作”提示而无法在系统中顺利驻留,因此使用Windows98 SE版是暂时免疫BO2K的方法之一(可是这种暂时的优势随时可能会因BO2K新修正版的推出而不复存在)。 什么是KeyboardGhost,如何清除? 答:KeyboardGhost(键盘幽灵)是一个专门记录键盘按键情况的黑客软件,可以运行在Win9x/NT/2000下。它的原理是这样的:Windows系统为了开辟键盘输入的缓冲区,在核心区保留了一定数量的字节,其数据结构形式是队列。KeyboardGhost就是通过直接访问这一队列来记录键盘上输入的一切以星号形式显示的密码窗口中的符号。并在系统根目录下生成一文件名为KG.DAT的隐含文件。对策是启动注册表,将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunService]→KG.EXE这一键值删除,并将文件KG.EXE从Windows\System目录下删除。 同时删除C:\KG.DAT这个文件。 什么是万能钥匙Xkey? 答:万能钥匙Xkey是产自国内的密码查找软件,该软件把词典内容分为“电话号码”、“出生日期”、“姓名字母”、“英文数字”四个部分,在每一部分可以按照需要设置有关参数,以快速地制作出许多破解工具所需要的词典文件。万能钥匙Xkey的 1.1版本还增加了电脑和网络常用英文作为字典文件中的单词。 万能钥匙Xkey可以根据你的设置生成各种类型的口令,下面逐一介绍: 1、电话号码:分为“普通电话”和“数字移动电话或寻呼机”两种,这里可以选择不同位数的号码。 在“词典长度”状态栏可以直观地看到词典的长度。词典的越长,那么生成的时间越长、词典文件也越大。2、出生日期:分为月日、年月、年月日三种,并可选择二位或四位年份和设置年份范围。3、姓名字母:分为姓名声母、姓或英文名、中文姓+名、中文姓+名字声母、中文姓+英文名;在姓氏范围中,你可以直接输入某个姓氏或按照人口频度选择姓氏范围,在“姓氏范围”中,你可以直接输入某个姓氏或调整人口频度。 除此之外,你还可选择加上固定前缀、常用数字和出生日期,姓名换位或使用分隔符。4、英文数字:此项包括有“计算机和网络常用英文(150个)”、其它常用英文(53123个)、常用数字(175个)和其它数字(0-999999)。 在生成词典文件之前,你还可以对词典中的字母进行大小写设定和设定词条宽度,并可以根据不同的系统平台对文本文件的换行符进行设定。在一切设置好后,来到“生成词典”对话框,点击“完成”按钮,弹出“保存词典文件”对话框,设置要保存的词典文件类型为TXT或DIC,然后用鼠标单击“保存”按钮,Xkey就开始为你生成词典了。 什么是NetSpy,如何清除? 答:Netspy是一个运行Win95/98的客户机/服务器模式远程控制软件,由客户程序和服务器程序两部分组成。在最新的Netspy版本中,客户程序通过互连网与安装运行在远程计算机上的服务器程序打交道。实际上可以将其看作一个没有权限控制的增强型FTP服务器。通过NetSpy可以神不知鬼不觉地下载和上载目标机器上的任意文件。并可以执行一些特殊的操作,如:终止远程计算机中运行的程序、在远程计算机上执行程序、关闭远程计算机等。 要想通过NetSpy自由存取别的计算机上的软件,同样必须先在目标计算机上安装NetSpy的服务器。Netspy服务器的安装方法十分简单,只需在目标计算机上运行一次netspy.exe文件即可。NetSpy会自动注册到系统里,以后每次启动Windows95/98时,就会自动启动netspy.exe程序了。这时,只要在别的计算机上执行netmonitor.exe,在菜单里选择添加计算机,输入目标计算机的IP地址或域名地址,就可以连接到目标计算机上进行操作了,使用方法十分简单。Netspy的缺点是不能为具体的机器设置密码,所以说安装了netspy server的机器一旦上网,有可能被任何安装了NetSpy客户程序的机器所控制。 由于Netspy.exe程序安装后,每次重新启动Windows95/98都会在不为人觉察的情况下自动加载NetSpy,所以它也是一个典型的特洛伊黑客程序:只要设法使欲攻击对象运行一次netspy.exe文件,目标计算机的后门就彻底对外开放了。只要对方的计算机一上网,入侵者就可以神不知鬼不觉地取得它的绝对控制权! 对策是在“开始--运行”里输入REGEDIT.EXE,直接打开注册表,如果在:“HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\CurrentVersion\Run”里如果有类似“netspy”、“C:\windows\system\netspy.exe”等字样,说明NetSpy已经进驻系统。另外一种识别方法是:打开资源管理器,进入Windows下的System子目录,如果发现有NetSpy.exe文件(86.5KB),没说的,中招了! 清除NetSpy的方法是:重新启动计算机,进入DOS状态,在Windows下的System子目录里删掉NetSpy.exe这个文件。再次启动机器,进入Windows的注册表,找到并删除“KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下NetSpy的键值即可。 什么是ProxyThief,如何清除? 答:ProxyThief被安装后,会用NetInspect 对机器的0到9999端口进行扫描,以找出可用的Free Proxy!端口, 然后通过将你的计算机设置成代理服务器, 达到冒用你的IP上网的目的 。黑客可以通过NetSpy或BO2K这样的工具对ProxyThief进行远程控制。清除方法是运行注册表,查找关键字“ProxyThief”,将所有与之相关的键和键值删除。 什么是“冰河”,如何清除? 答:国产黑客软件“冰河” 与所有的特洛伊木马程序一样,当“冰河”的服务器端程序G_Server.exe一旦被某台电脑的使用者所执行,虽然在表面上看不出任何变化,但事实上,该服务器端程序已悄悄地进驻该机的注册表,以后,只要这台电脑一启动上网,可怕的“后门”(默认端口号7626)就会悄然洞开,可轻易地被藏在网络某个角落的客户端程序G_Client.exe扫描到并实施包括可显示系统信息及上网密码、系统控制(重新启动、关机等)、注册表键值读写等几乎是全方位的控制。 如果上网时一旦不小心误入了“冰河”,脱身的方法如下: 1.在c:\Windows\system目录下,查找并删除名为KERNEL32.EXE的文件。 2.“冰河”为了进行自我保护,它可将自己与文本文件关联,以便在程序被删除后在打开文本文件的时候又自动恢复,这个关联文件是SYSEXPLR.EXE。 3. 检查注册表。在“开始—运行”里输入“regedit”并回车,在“HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion \Run和HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices”,查找并删除有KERNEL32.EXE文件的键值。 4.最后,因为“冰河”的服务器端程序名不一定就是KERNEL32.EXE,所以最可靠的办法还是把C盘格式化后重新安装Windows。 什么是GirlFriend,如何清除? 答:GirlFriend属于木马程序。主要是获取目标机的密码等资料,另还可以传送信息、显示bmp图像等。运行了该木马之后,会在HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RUN下面找到键值名Systemtray,在Windows 下生成一个Wind11.exe文件,并将自身删除,然后修改注册表。 清除方法是删除该木马在注册表中所修改的键值名,再在纯DOS下删除Wind11. exe。 什么是PortHunter,有何对策? 答:PortHunter占用大量的Socks进行端口搜索,盗用SMTP端口(:119)发E-mail、盗用没有密码的代理端口(:8080)、盗用内部使用的FTP端口(:25)。PortHunter降低局域网的数据传输效率,危害网络安全。对策是对于Novell 的局域网,采用限制指定程序运行的方法;对于其它框架的局域网的用户,则可以在服务器中设定禁止一些黑客程序的运行。 什么是Deep Throat,如何清除? 答:Deep Throat属于特洛伊木马,功能还不少:可获取密码及系统信息,重启目标机器,将目标机设置成FTP服务器,读写、运行和删除目标机器上的文件,隐藏开始菜单和任务栏,截获屏幕图像等功能。 Deep Throat 2.0被执行后会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RUN下面找到键值名Systemtray,在Windows下生成“Systray.exe”。 清除方法是删除该木马在注册表中的键值,接着在纯DOS下删除该木马启动文件。 什么是HDFILL,有何对策? 答:HDFILL属于特洛伊木马程序,表面上是个有着可爱画面的安装程序,但是在实际“安装”过程中会自动产生999999999个变长的文件,直到把你的硬盘填满垃圾为止。虽然要清除这么多垃圾文件非常辛苦,但是也只得耐心清除,要不然怎么办,格式化硬盘?对策还是防患于未然,安装LockDown2000来拦截来历不明的软件。 什么是天行刺客,有何对策? 答:运行于Windows 95/98平台的天行刺客通过从路由器中窃取未加密的信息,从而对指定的机器进行监控。你的E-mail、FTP、BBS登录的用户名和密码都会被黑客窃取。对策是尽量少用MS —DOS下的FTP命令和Windows下的Telnet命令,尽量采用IE这样对你的重要数据进行了加密的浏览器上站。 四、网上防黑术 必须说明,安全防范与攻击破解是相互依存的,我们初步了解黑客软件的攻击原理和手段,是为了更好地进行黑客防范,其中涉及的黑客手段切勿轻易尝试,否则必将受到国家有关的网络安全法规的惩处,一切后果由使用者自负。 如何防止IP的泄露? 答:很多黑客软件都需要先了解对方的IP地址方能发起有效的攻击,为此还出现了类似IPHunter这样的专门用于截获IP地址的工具。显然,要防范黑客的进攻,第一步应该先保护好自己的IP。要想不让对方刺探到我们的真实IP,一个行之有效的方法就是设置并使用具有防火墙作用的代理服务器(Proxy)。我们在通过代理服务器上网的时候,那些“功力”还不是太深厚的黑客通常就只能定位到代理服务器的IP,而无法获得我们的真实IP。 如何让Win98更安全? 答:对普通个人用户来说,Windows 98还是目前最常用的操作系统,但其安全性能比较薄弱,面对潜在的安全隐患,我们可以通过设置登录密码、以及修改注册表里的一些内容,来屏蔽和限制Windows 98系统里的某些敏感功能,限制普通用户的系统使用权限,以提高上网的安全性。 如何设置系统登录密码? 答:设置登录密码可有效地改善系统的安全性,设置方法如下:首先选择“开始”→“设置”→“控制面板”→“密码”,在随后出现的“密码属性”对话框里,在“更改密码”标签下,点击“更改Windows密码”设置新的系统登录密码,当出现“成功更改了Windows密码”提示后,按“确定”退出。接着打开“用户配置文件”标签,选择“用户可自定义首选项及桌面设置...”,完成后按“确定”退出。 重新启动系统,会出现密码输入框,需要正确输入密码方可正常登录。 如何请不速之客吃闭门羹? 答:要谢绝不速之客以默认配置造访我们的Win98系统 ,可在每天离开系统前做如下的修改:在“开始”→“运行”里输入“regedit”,然后按“确定”,打开Win98注册表,在“\HKEY_USERS\.Default\Software\Micorosoft\ Windows\CurrentVersion\Run”中单击鼠标右键,选择“新建”---“字符串值”,将该字符串值命名为“你是非法用户吧?哈哈”,将该键值设为“RUNDLL.EXE user.exe,exitwindows”。这样,当不速之客想要“光临”我们的Win98系统时,电脑将会执行自动关机操作。 如何屏蔽注册表编辑器? 答:通过修改文件注册表,可以根据需要限制普通用户的系统使用权限:为了防止黑客修改注册表,可做如下的修改:在“开始”→“运行”里输入“regedit”,然后按“确定”,打开Win98注册表,在“\HKEY_CURRENT_USER\Software\ Micorsoft\Windows\CurrentVersion\Policies\System”中,选择“新建”→“DWORD值”“DisableRegistryTools”,将其键值设置为“1”。 如何隐藏驱动器? CurrentVersion\Policies\Explorer”中,选择“新建”→“二进制值”,取名为“NoDrives”,若将其值设为00000000(由四个字节组成),则表示任何驱动器都不隐藏,该值每个字节的第一位对应从A:到Z:的一个驱动器盘符,即01为A,02为B,04为C,08为D...... 比方:需要把D盘隐藏起来,则将该键键值设为08000000。 如何屏蔽MS DOS方式? 答:当我们用上一步中的方法隐藏了驱动器后,如果普通用户选择使用MS DOS方式,那么他还是可以进入任何驱动器的,所以还应该考虑屏蔽MS DOS方式:启动注册表,在“\HKEY_ CURRENT_USER\Software\Micorsoft\Windows\ CurrentVersion\Policies”中新建“WinOldApp”主键,在其下新建一个DOWRD值“Disabled”,键值设置为“1”。 问:如何隐藏桌面上所有图标? 答:启动注册表,在 “\HKEY_CURRENT_USER\Software\Micorsoft\ Windows\CurrentVersion\Policies\Explorer”中,选择“新建”——“DOWRD值”,取名为“NoDesktop”,键值设置为“1”,重新启动系统后,普通用户桌面上的图标就统统消失了。 如何隐藏密码文件? 答: 在Win98中,用户设置的拨号上网等密码都是以.pwl文件的形式保存在Window目录中,这样,一个侵入你系统的人是很容易找到该.pwl文件的。所以,应该把这个密码文件尽快隐藏起来:在C盘的WIndows目录下找到并打开System.ini文件,在其中找到[Password Lists]项,将密码文件的存放路径改到刚才隐藏起来的驱动器下的目录中,这样你的密码文件就相对安全多了。 如何让ICQ更安全? 答:广受欢迎的网络寻呼软件ICQ具有功能齐全、稳定性好等特点,但是它存在着一些安全上的漏洞。虽然现有的这些漏洞还不至于使ICQ用户的本地数据受到直接损失,但是却可能使我们在网上受到一些别有用心的人的攻击,为有效地避免这种烦恼,可以采取以下的措施来进行一定程度上的防御(以ICQ2000a为例): 1.提高ICQ的安全级别 单击“ICQ”按钮,打开菜单,在“Security & Privacy”栏里找到“Security level”(安全级别)项,将其设置为“High”(高)。 2.对特定的人“隐身” 如果不希望某人看到你在线,可以这样做:对ICQ的列表中对该人的名字单击左键,在弹出的菜单中选择“Alert/Aeceptmodes”项,在“Status”(状态)标签里“Invisible To user”(对该人“隐身”)前的复选框里打勾。 3.保护好自己的IP 自己的IP一旦暴露,对方就可以很容易地使用类似ICQBomber(160KB)的攻击性很强的IP炸弹对你进行“轰炸”。比较简单的保护措施如下: (1)在“Security & Privacy”的“General”标签中,把“Change Contactlist Authorization”设置为“My authorization is required...”,设定只有经过你自己同意,别人才能把你添加到列表中。同时,打开“Invisible”标签,通过设置,让某些特定的人看不到我是否在线。 (2)对于2000a以前的版本,可以按“ICQ”按钮,在ICQ菜单里的“Security & privacy”项中选“Do not allow others to see my IP address”(不允许别人查看我的IP地址)。另外,在“Preferences”(设置)中的Contact list(联系列表)选择“Show Online Only Tab in the Contact”,这样可以使只有在你列表上的人才能看到你在线。 在ICQ中如何使用SOCK代理服务器? 答:使用SOCK代理服务器也是避免骚扰的一个有效方法。在ICQ中的设置方法如下:在“My Contact List”(我的联系名单)中把ICQ由“Simple Mode”(简单模式)切换为“Adeanced Mode”(高级模式)。接着单击“ICQ”按钮,在弹出的菜单里选择“Preferences”(性能设置),选择左侧的“Connections”(连接)一项,将其中的“Server”(服务器)标签下的“Proxy Settings”(代理服务设置)里选择“Using Firewall---Using Proxy”,并在“Proxy”里选择SOCK5代理服务器;再选中“Firewall”(防火墙)标签,选择“SOCK5”代理服务器,然后在右边的“Proxy Server”里把你的SOCK代理服务器地址填入Host框,Port框中填写端口(通常为1080)。最后,在“User”标签下选中“Using Proxy”,类型选择“SOCK5”。最后单击“Apply”(应用)按钮后按“确定”就可以了。 目前主要有哪些OICQ恶意攻击软件? 答:国产网络寻呼软件OICQ虽然在功能和稳定性上暂时还无法和ICQ相提并论,但是亲切的全中文的界面还是吸引了越来越多的国内用户。随着用户数量的急剧上升,各类针对OICQ的恶意攻击软件也开始纷至踏来,它的安全性也日益受到挑战。 目前比较功能较强的常见恶意攻击软件主要:OICQ Send、网络追捕、OICQ Sniffer、OICQ Nuke Plus、OICQ 密码终结者、OICQ Spy、OICQ好友炸弹、OICQPASS、OICQ对话阅读器、OICQPEEP等,简单介绍如下: (1) OICQ Nuke Plus:极具攻击性的OICQ炸弹,它的主要手段是在短时间内向 指定的OICQ用户发送大量的信息,使对方的OICQ超载从而达到轰炸对方的目的。 (2) OICQ 密码终结者:采用穷举法来窃取OICQ的密码。新版经过优化后密码搜索速度极快,可以达到2万个/秒。 (3) OICQ阅读器:不需任何密码即可直接查看OICQ聊天纪录文件。? (4)OICQ Spy:一个非常全面的OICQ攻击性工具,集成了IP及端口地址的查寻、用户地址查寻、显示对方真实上线地址等功能,非常全面,具有较强的杀伤力! (5) OICQ对话阅读器:针对本地OICQ的黑客工具,能很容易查看你的OICQ账号、密码和聊天记录,可以说什么秘密都没有了。 (6) OICQPeep: 可以轻易地查出任何一个OICQ用户的在线好友名单和他们的IP地址。 OICQ Send有何特点? 答:OICQ Send是一个利用OICQ发布消息的工具,还可以查找OICQ好友的IP。使用方法十分简单,启动OICQ Send,将需要发送的OICQ好友的IP地址和端口以及发送内容填入相应的对话框内,按“开始”按钮即可将信息发出,不需要自己的OICQ在线。 要注意的是:在OICQ号的栏目内如果不填如何数值,则程序将自动随机的产生OICQ号,虚拟发送到对方的OICQ的陌生人一栏中,而且每发送一次会更换一个号码!如果填入相应的数值,就可以向该OICQ号码用户发送信息,但最多只能发送8条记录。作者为了避免产生不良影响,特别将发送次数限制在每次20条。另外,在发送内容中填写的字符不能超过1000个,否则会产生系统缓冲溢出。 OICQ Sniffer有何特点? 答:OICQ Sniffer是用于破解OICQ密码的UDP协议嗅探器,目前只能够支持Win 9x系列。该软件针对OICQ的消息协议进行了优化,可以探测到OICQ点对点的通信情况。软件启动后的界面十分简洁、明快。用户只要选择上网方式后按下追踪按钮,便可以查看主界面中显示的内容。 OICQ 密码终结者有何特点? 答:利用OICQ密码终结者可以帮助你快速找回6位的OICQ密码(或者说是采用穷举法暴力破解本地机器上OICQ密码的老牌工具),比以前的密码查找软件OICQPass在功能上前进了一步。 完成安装后启动OICQ密码终结者,可以看到它有一个简单而实用的工作界面。使用的方法是先选择用户搜索用到的字符集,然后在选项前面的复选框里打钩;然后选择自己的想要搜索密码的起止位数,最后选择OICQ的解密目录。例如:你的OICQ目录是c:\program files\oicq,你要解密的OICQ号是123456,那么你应该选择的解密目录就是:c:\program files\oicq\123456。点击“开始”,立即开始查找OICQ密码,可以观察到工作进度。 什么是OICQPassSniff? 答:OICQPassSniff是一个近乎于“木马”性质的工具,用于破解本机的OICQ密码,只能在Windows 9x下使用。执行程序后没有任何界面出现,程序在后台不露声色地自动运作。最好是手动设置为在Windows启动后自动运行,以后每当有用户登录OICQ时,所有的密码都会被记录在c:\log.txt文件里。 何为OICQ好友炸弹? 答:OICQ好友炸弹是专门对那些在OICQ加入好友时需要身份验证的人进行恶作剧的小工具。填写OICQ服务器名称或IP地址、自己及对方的OICQ号码、请求信息的内容和发送次数,然后点击“开始”,你设置好的骚扰信息就会向陌生人的OICQ发起狂轰滥炸......另外,在进行攻击之前,点击“他的资料”就能查看对应号码用户的所有资料,以保证自己不会随便乱炸。对付这个恶作剧工具的方法是:在OICQ中修改用户资料,在“网络安全”标签中把“身份验证”级别定在“不允许任何人把我列为好友”。这样,你的好友将全部由自己来添加,但却会失去一些广交朋友的机会。 什么是XOICQ? 答:XOICQ是一个查OICQ好友IP以及进行炸弹攻击的二合一OICQ攻击工具。 使用时启动软件,先在根据自己的上网方式在“Adaptor”里选择正确的适配器(否则程序无法继续执行并可能死机),接着点击 “Detect”按钮,截获的对象资料将显示在“在线名单”“List on line”里面。最后选择对象,点击“Add in attack”,把它添加到攻击对象名单里,然后按“Attack”开始发起攻击。 OICQPeep有何特点? 答:OICQPeep运行于Win98/NT,用于查看OICQ上聊天对象的IP地址,该程序短小精悍且无须特别安装。第一次启动OICQPeep时,在弹出的窗口里选择的上网类型、默认端口号,再填入自己OICQ号码即可。先启动你的OICQ,再运行OICQPeep,然后再按下OICQ的显示按钮,此时你的OICQ在线好友列表里的OICQ号码及其IP地址便就会显示在右边的文本框里。用OICQPeep 来查找IP地址比传统的NETXRAY更为简单、实用,无须发送消息给对方。 网络追捕有何特点? 答:网络追捕是一个针对OICQ的黑客软件。可以查询对方IP的域名,可以设置智能追捕功能,在激活追捕时可以自动从剪贴板上取出IP地址进行查询;可以把查询结果隐藏在系统任务栏中;可以分析一些IRC服务器为了保护聊天者而虚设的IP地址等。第一次启动网络追捕会弹出一个很简洁的提示菜单,根据需要选择执行的操作后,点击一下菜单上的追捕按扭即可。 OICQSpy有何特点? 答: OICQSpy是一个重量级的OICQ工具。利用它不仅可以监视对方的IP和端口地址,显示对方的上网真实地址和上线时间,而且还可以发送匿名信件;扫描指定计算机的NetBIOS信息。另外,它还可以过滤OICQ炸弹; 软件安装完成后运行OICQSpy.exe,首次运行该程序时会自动弹出一个设置对话框。将其中的OICQ服务器地址设为202.103.190.46,端口设为8000即可。代理端口可任意设置(最好大于1024), 选择IP数据库的路径时可设置为OICQSpy自带的wry.d11。 启动OICQ后,更改系统设置中的网络设置,将上网类型设置为“局域网接入Internet”,用户类型为“Internet用户”,服务器地址设置为“127.0.0.1”,然后点击“添加到列表”,端口号应为前面设置的OICQSpy的代理端口。完成上述设置后,OICQSpy主窗口中将列出所有在线好友的IP、端口、真实地址、上线时间等各种信息。 使用OICQSpy后,由于OICQ的信息要通过代理服务器传送,所以起到了保护自己IP不被OICQPeep这样的工具探查,从而避免OICQ炸弹的袭击。 OICQ ShellTools有何特点? 答:该软件的功能与OICQSpy比较接近, 利用这个软件可以查出自己OICQ好友的IP地址;配合网络追捕的数据库,不仅可以知道对方的地址,甚至还可以冒充其它人发言。安装好OICQ ShellTools软件后,首先启动自己的OICQ,然后离线,然后再启动OICQ ShellTools,按照提示填上号码、密码,然后点击“OK”,OICQ好友的秘密就都将呈现眼前。如果想要匿名发送,只需要填上号码和对方的IP地址、端口地址,然后选择发送即可。 如何提高OICQ的安全性? 答:(1)尽量使用最新版本的OICQ软件,因为新版本不仅修改了旧版中的各种BUG,而且往往更稳定快速(最近修改了通讯底层协议的Build 0820版就一个典型的例子)。重要的是,原来针对旧版的OICQ黑客软件,面对时新版往往无能为力。 (2)如果是在网吧或机房等公共场合上网运行OICQ结束后,找到OICQ的安装目录,将以你的OICQ号码命名的那个子目录删除,并随即清空回收站,就可以避免密码被盗和记录被别人偷看了。 (3)使用OICQShield之类的OICQ“盾牌”软件,能够使你避免遭受OICQ Nuke之类OICQ炸弹的攻击。 (4)如果可能的话,使用个人防火墙。单击“OICQ”按钮,选择“系统参数”,进入“网络设置”标签,在“使用ProxySocket5 防火墙”,并填入防火墙的地址和端口号就可以了。另外,在“本地安全”标签里,还可“启用本地消息加密”。 为什么要提防CGI? 答:我们平时上网用的IE等浏览器大都支持CGI、JAVA、ASP等技术。一些别有用心的人利用系统存在的漏洞编写出一些特殊的代码,当你打开包含这些代码的页面时,该代码就会被浏览器自动执行并产生破坏作用。其中典型的恶作剧代码——“窗口炸弹”,包含这一代码的页面被打开后,就会迅速自动打开无数个浏览器窗口,直至你的系统资源被彻底耗尽!另外一种代码则更为阴险,包含了该种代码的页面一旦被打开后,就会自动寻找本机的密码文件并发回服务器。 有效的防范方法是使用防火墙、避免访问来历不明的站点,增强网络管理级别,尽量避免CGI等代码的自动运行。 怎样防止电子邮件炸弹的攻击? 答:1. 不要轻易向别人透露自己的ISP电子邮箱,可根据用途多申请几个163、263这样的免费邮箱,以方便对外联系时使用。 2.一般ISP邮箱或163、263免费邮箱都具有邮件过滤器系统,提供邮件拒收功能。这个功能可以帮助我们把那些令人讨厌的垃圾信件自动退回。只要在邮箱的服务器端设置好就行了。同时你还可以设置具体的过滤规则,同时关闭邮件的自动回复功能。 3.对于使用Foxmail的用户,如果意外遭到电子邮件炸弹的的袭击,可以利用Foxmail的远程邮箱管理功能(在菜单里选“工具”——“远程邮箱管理”),先不会把信件直接从主机上下载,而只是先取包括了它包含了信件的发送者,信件的主题等信息的所有邮件头信息,用“view”功能检查头部信息,看到信件中的不速之客后,可直接使用删除命令把它从主机服务器端直接删除掉。 4.如果你的电子邮箱支持POP3,邮箱被炸后你也可以采用专门的砍信软件(如E-mail Chomper等)来处理,可以高速删除大量的垃圾信件。 五、网上安全策略 信息的全面数字化和电子网络的四通八达,突破了时空的阻隔,使得当今世界正朝一个电子化的“e—World”逐渐演进,依靠电脑网络,就可以运筹帷幄、决胜于千里之外。然而,这一切都必须建立在良好的网络发展环境和安全的网络运作基础之上。 各种黑客程序虽然功能强大,但并不可怕。只要我们作好相应的防范工作,上网时又能独善其身,这样就可以大大降低被黑客攻击的可能性: 1.重要数据常备份 确保重要数据不被破坏最好的办法是定期或不定期的备份工作, 如硬盘分区表、系统注册表、WIN.INI和SYSTEM.INI等。特别重要的文件应该每天备份。 2.不运行来历不明的软件 我们知道,黑客的服务器程序必须被植入目标计算机系统方能发挥作用,所以我们就不要轻易运行从陌生的不可靠的Internet网站(特别是某些黑客站点)、不可靠的FTP站点上下载的软件,因为黑客软件可以被十分容易地捆绑到任何一个可执行程序上,运行又无法发觉,当你接受到一个来历不明的软件,就有可能包含了后门程序。攻击者常把后门程序换一个名字作为E-mail附件发给你,并骗你说:“我不知道这个软件怎么用,请帮我试一下”之类的话,这时一定不要上当!其他的程序比如游戏软件、屏幕保护程序、新年贺卡程序都很有可能携特洛伊木马进驻你的电脑,所以千万不要运行来历不明的软件。另外,盗版光盘上的许多黑客工具也是暗藏玄机,别轻易中招喔。 3.使用反黑客软件 尽可能经常性地使用多种最新的、能够查解黑客的杀毒软件(或可靠的反黑客软件)来检查系统。必要时应在系统中安装具有实时检测、拦截、查解黑客攻击程序的工具。应该注意的是,与病毒不同,黑客攻击程序不具有病毒传染的机制,因此,传统的防病毒工具未必能够防御黑客程序。另外防火墙也是抵御BO2K等黑客程序入侵的非常有效的手段。 4.防人之心不可无 要时刻保持警惕性,例如,不要关闭浏览器的数据传输提示窗,许多上网的用户都设置为“以后不再询问此类问题”,这样容易失去警觉,越来越大胆地访问、下载和在WEB上回答问题。 最好关闭浏览器的“接受Cookie”——不管是在IRC或是访问别人的网站, 因为没人能保证它给你的那几十个或几百个字节的Cookie 是出于一片好心。上网觉得不对劲时(比如程序自动运行、频繁的死机),应该立刻断线下网,用我们刚才说过的多种方法进行安全检查,看看是否已经被黑客的特洛伊木马进攻了。 5.不要暴露自己的IP 上网注意不要把自己的IP显示出来。某些聊天室会把你聊天用的密码写入你的缓存里面, 自己最好每次清理你的缓存(WINDOWS目录下的Internet Temp文件夹),删掉那些文件名含有自己密码的文件。 总之,对于个人用户而言,要提高上网时的安全性,除了独善其身,做到不访问黑客站点、不运行来历不明的软件,并对系统进行一定的安全性设置外,还有一个很有效的防范措施就是安装使用个人防火墙。对此,我们稍后将做详细的介绍。 _________________
分享到:
|
我的QQ群:500人财富群11470502;投资群5920530;资源群6648659;交友群5713862;娱乐群6925950。 我的博客:http://104508155.qzone.qq.com/
|
|
[作者]贾明 [头衔] [经验]19 [等级]三等兵
[发帖]2 [回帖]0 [登陆]3 [发表时间]2003/5/27 10:45:08 [1楼]
|
|
超级感谢! ××××××××××××× 初来乍到,多多关照!
|
|
|
|
[作者]sweetsea [头衔] [经验]21 [等级]
[发帖]3 [回帖]0 [登陆]1 [发表时间]2003/6/22 12:41:22 [2楼]
|
|
|
[作者]阿呆 [头衔]文学版主 [经验]2298 [等级]上校
[发帖]83 [回帖]-3 [登陆]52 [发表时间]2003/7/29 10:00:59 [3楼]
|
|
感谢异常
|
没话好说了,一个字_烦.网上泡MM,不搭理.最好的朋友绝交了.女朋友没事发脾气.写小说,没灵感.总而言之,最近做啥事,啥不顺. SO,没话可说......
|
|
|
[作者]seiya [头衔] [经验]269 [等级]下士
[发帖]53 [回帖]0 [登陆]45 [发表时间]2003/8/6 9:43:16 [4楼]
|
|
呵呵,和偶在很多书上看到的一样喔OOOOO 大主帅是不是忙了一个晚上才把贴子搞定? 偶们要慰问你喔!:)
|
偶是新手,请多关照!
|
|
|
[作者]jimmyjimmy [头衔] [经验]138 [等级]一等兵
[发帖]7 [回帖]0 [登陆]18 [发表时间]2003/8/6 20:53:51 [5楼]
|
|
|
[作者]sdzbdy [头衔] [经验]158 [等级]一等兵
[发帖]43 [回帖]0 [登陆]83 [发表时间]2003/9/23 22:21:51 [6楼]
|
|
|
[作者]风萧萧 [头衔] [经验]180 [等级]一等兵
[发帖]2 [回帖]0 [登陆]76 [发表时间]2003/9/28 23:52:51 [7楼]
|
|
|
[作者]wakin [头衔] [经验]108 [等级]一等兵
[发帖]3 [回帖]0 [登陆]2 [发表时间]2003/10/12 19:49:03 [8楼]
|
|
|
[作者]tj_zzc [头衔] [经验]107 [等级]一等兵
[发帖]1 [回帖]0 [登陆]5 [发表时间]2003/10/20 19:00:36 [9楼]
|
|
|
[作者]zeroone0 [头衔] [经验]151 [等级]一等兵
[发帖]15 [回帖]0 [登陆]20 [发表时间]2003/10/26 12:56:30 [10楼]
|
|
|
|
|